Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

О коллективной работе над нормативными документами по защите информации

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(1)
()
Так сложилось, что мне в последнее время довелось и доводится участвовать в работе над проектами различных нормативных актов по информационной безопасности:
  • документы ФСТЭК по персональным данным, государственным информационным системам и т.д.
  • документы ПК1 ТК122 по стандартизации финансовой безопасности
  • Стратегия кибербезопасности Российской Федерации
  • проекты РАЭК
  • проекты Роскомнадзора
  • проекты НП НП
  • документы Банка России
  • и т.п.
Форма моего участия в таких работах различная - от разработки требований до экспертизы готовых документов. И вот какие впечатления от всех этих работы у меня сложились:
  1.  У проекта должен быть четкий владелец, который должен обладать всей полнотой власти и принятия решения о включении или невключении в нормативный акт предложений участников. Как не парадоксально, но у одного из описанных выше проектов это требование не выполняется - инициаторы заявили, что они только модерируют процесс и собирают разные мнения, вставляемые в разрабатываемый документ. В итоге сейчас получается винегрет, т.к. у участников процесса разное видение и самой темы, описываемый в проекте нормативного акта, и результата всей работы.
  2. У проекта должна быть заранее определенная цель, понятная всем участникам. Чтобы не было ситуации, когда цель меняется по ходу или ее вообще нет, а инициаторы проекта решили либо просто попиариться, либо не до конца сами понимают во что ввязываются.
  3. Все участники проекта должны использовать единую терминологию, чтобы не тратить время на обсуждение сути терминов "кибербезопасность", "информационная безопасность", "защита информации", "платежная система", "международная платежная система", "машинный носитель персональных данных" и т.п. Решить эту задачу можно либо использованием заранее созданного глоссария или предварительным созданием такого глоссария. Он полезег и работа по созданию глоссария точно впустую не пропадет.
  4. Определите Scope. Это классика управления проектами, но и про нее тоже часто забывают, затевая разработку документа с неочерченными границами. Например, стратегия кибербезопасности. Что входит в это понятие? Военно-политические угрозы? Террористические? Или только криминальные? Или планируемый в ПК1 ТК122 документ по лучшим практикам в области защиты информации при осуществлении денежных переводов. Очевидно, что форм безналичных расчетов в рамках НПС существует масса - платежные поручения, инкассо, чеки, электронные денежные переводы и т.п. И форм электронных средств платежа тоже немало. Я не говорю про то, что даже в самом Банке России (и его территориальных учреждениях) до конца не определились, что же такое электронное средство платежа. Кто-то к ним относит ДБО, кто-то нет. Кто-то относит к электронным переводам Western Union, а кто-то нет.
  5. Не пользуйтесь Почтой России для коммуникаций с участниками. Аккурат недавно со мной произошел такой случае. 6 февраля (!) Минюст выслал мне приглашение поучаствовать в мониторинге правоприменительной практики по ФЗ-152. Получил я это приглашение 1-го апреля - вот такая шутка от стратегического объекта для России под названием "Почта России".
  6. Всегда отвечайте! Отвечать "ваши предложения получены" - это правило хорошего тона при переписке. Все-таки e-mail, часто используемая для связи участников проекта, - это канал негарантированной доставки сообщений, а СЭД или онлайн-порталы совместной работы (например, Битрикс24 или Мегаплан из отечественных) мало где применяется. Еще лучше, когда на каждое присланное предложение поступает ответ - принято или нет. Если нет, то почему. Гдавное подойти к этому не формально. А то помню я, как ФСБ отвечало на многие предложения по внесению изменений в проект ПП-1119, - "считаем нецелесообразным".
  7. Не забывайте про регуляторов! Да, так тоже бывает. Далеко не все проекты нормативных актов или концепций/стратегий готовятся по инициативе ФСТЭК или ФСБ (как минимум). Но они тоже игроки на поле отечественной ИБ и если про них забыли (случайно или намеренно), то они могут и обидеться. А это значит, что документ не пустят дальше и зарубять его на корню (даже если идея документа здравая и могла бы быть поддержана регуляторами). Таких примеров тоже полно. Проект Постановления Правительства по надзору в сфере ПДн, методичка ДИСа по защите ДБО, стратегия кибербезопасности и т.п.
  8. Не раздувайте штат экспертов. В психологии есть правило "7 плюс-минус 2". Именно столько экспертов должно быть в группе по разработке или экспертизе документов. Принимать предложения можно от кого угодно (наверное) и для этого даже есть идеи в некоторых проектах запускать целые краудсорсинговые платформы. Но вот анализировать их и принимать или отсекать (с учетом пункта 6) должна небольшая группа, которая гораздо эффективнее решает многие вопросы, чем скопища на 15-20-40 человек. Это и быстрее и консенсус находится лучше. Если же выслушивать каждого из 30 человек, то на заседания и обсуждения уходят часы вместо минут.

Нельзя сказать, что я открыл Америку. Но т.к. на одни и те же грабли я (и коллеги) наступают уже не раз, то решил поделиться своим мнением. Вдруг организаторы услышат и воспользуются ;-) По проектам, в которых я участвую (участвовал) могу сказать, что не было ни одного, который учитывал бы сразу все рекомендации. И это несмотря на то, что всем этим организаторам честь и хвала за приглашение внешних экспертов к работе. Но учет описанных выше 8-ми пунктов сделал бы работу продуктивней и плодотворней.

ЗЫ. Кстати, опасаться, что при анонсировании проекта по разработке нормативного акта, набежит толпа экспертов, желающих поучаствовать в процессе, не стоит. Я не видел еще ни разу, чтобы такие толпы собирались (хотя регулярно эксперты ругают регуляторов за их закрытость и непривлечение экспертного сообщества). У кого-то времени нет. Кто-то смысла не видит. Кто-то не готов очно на совещаниях присутствовать (никто еще не освоил унифицированные коммуникации для обсуждения вопросов). Кто-то только для понту включается в рабочую группу, но ни фига не делает, а еще хуже когда просто критикует, не предлагая ничего взамен. Кто-то бесплатно не работает. Причин много, но результат один - экспертов, которые готовы реально заниматься такой работой на общественных началах (а почти всегда эти работы безвозмездные) очень и очень мало.
Оцените материал:
Total votes: 31
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Алексей! Все Ваши предложения хороши, за исключением последнего - девятого - приглашать экспертов. Всё перечисленное должны были бы делать штатные сотрудники тех самых "регуляторов". Приглашать экспертов - это, примерно, то же самое, что приглашать партизан в Генштаб разрабатывать войсковую операцию. Среди партизан случаются толковые специалисты. Их мнение можно спросить и даже учесть (в части касающейся), но приглашать принять участие - нонсенс. Это от безисходности. Если в Генштабе сидят случайные и несведующие в военном деле "специалисты", тогда на их фоне и партизаны - крутые военноначальники. 

А ещё эксперты нужны для "делегирования ответственности", а проще - в качестве "козлов отпущения", т.е. тех, на кого потом свалят вину за качество принятого документа. Как это будет в недалёком будущем, после регистрации небезизвестного приказа в Минюсте. 

И ещё про одно очень распространённое заблуждение. Не только Вы, но и большинство (если не все) спецы по ЗИ считают, что критик должен что-то предлагать взамен критикуемого. Это не просто заблуждение, это - огромное заблуждение. Если бы театральные критики предлагали что-то взамен, они были бы либо артистами, либо сценаристами. Литературные критики стали бы писателями. Музыкальные критики в большинстве своём не умеют прилично играть ни на одном музыкальном инструменте. Дегустаторы, как правило, не умеют готовить. И т.д. и т.п.

КРИТИК НИЧЕГО НИКОМУ НЕ ДОЛЖЕН ПРЕДЛАГАТЬ!

up
5 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.